Bienvenue au deuxième article de la série Cisco ISE. En premier les avantages et les différences des solutions de contrôle d'accès au réseau (NAC) par rapport à la norme AAA, le caractère unique de Cisco ISE, l'architecture et le processus d'installation du produit ont été mis en évidence.
Dans cet article, nous approfondirons la création de comptes, l'ajout de serveurs LDAP et l'intégration à Microsoft Active Directory, ainsi que les nuances de l'utilisation de PassiveID. Avant de lire, je vous recommande fortement de lire .
1. Quelques termes
Identité de l'utilisateur - un compte utilisateur qui contient des informations sur l'utilisateur et génère ses informations d'identification pour accéder au réseau. Les paramètres suivants sont généralement spécifiés dans l'identité de l'utilisateur : nom d'utilisateur, adresse e-mail, mot de passe, description du compte, groupe d'utilisateurs et rôle.
Groupes d'utilisateurs - Les groupes d'utilisateurs sont un ensemble d'utilisateurs individuels qui disposent d'un ensemble commun de privilèges leur permettant d'accéder à un ensemble spécifique de services et de fonctions Cisco ISE.
Groupes d'identité d'utilisateur - des groupes d'utilisateurs prédéfinis qui disposent déjà de certaines informations et de certains rôles. Les groupes d'identités d'utilisateurs suivants existent par défaut, vous pouvez leur ajouter des utilisateurs et des groupes d'utilisateurs : Employee (employé), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (comptes sponsors pour la gestion du portail invité), Guest (invité), ActivatedGuest (invité activé).
rôle d'utilisateur- Un rôle d'utilisateur est un ensemble d'autorisations qui déterminent les tâches qu'un utilisateur peut effectuer et les services auxquels il peut accéder. Souvent, un rôle d'utilisateur est associé à un groupe d'utilisateurs.
De plus, chaque utilisateur et groupe d'utilisateurs possède des attributs supplémentaires qui permettent de sélectionner et plus précisément de définir cet utilisateur (groupe d'utilisateurs). Plus d'informations dans .
2. Créez des utilisateurs locaux
1) Cisco ISE a la capacité de créer des utilisateurs locaux et de les utiliser dans une politique d'accès ou même de donner un rôle d'administration de produit. Sélectionner Administration → Gestion des identités → Identités → Utilisateurs → Ajouter.
Figure 1 Ajout d'un utilisateur local à Cisco ISE
2) Dans la fenêtre qui apparaît, créez un utilisateur local, définissez un mot de passe et d'autres paramètres compréhensibles.
Figure 2. Création d'un utilisateur local dans Cisco ISE
3) Les utilisateurs peuvent également être importés. Dans le même onglet Administration → Gestion des identités → Identités → Utilisateurs sélectionner une option L’ et téléchargez le fichier csv ou txt avec les utilisateurs. Pour obtenir un modèle, sélectionnez Générer un modèle, il doit alors contenir des informations sur les utilisateurs sous une forme appropriée.
Figure 3 Importation d'utilisateurs dans Cisco ISE
3. Ajout de serveurs LDAP
Permettez-moi de vous rappeler que LDAP est un protocole populaire au niveau de l'application qui vous permet de recevoir des informations, d'effectuer une authentification, de rechercher des comptes dans les répertoires des serveurs LDAP, fonctionne sur le port 389 ou 636 (SS). Les principaux exemples de serveurs LDAP sont Active Directory, Sun Directory, Novell eDirectory et OpenLDAP. Chaque entrée de l'annuaire LDAP est définie par un DN (Distinguished Name) et la tâche de récupération des comptes, des groupes d'utilisateurs et des attributs est déclenchée pour former une politique d'accès.
Dans Cisco ISE, il est possible de configurer l'accès à de nombreux serveurs LDAP, implémentant ainsi la redondance. Si le serveur LDAP primaire (primaire) n'est pas disponible, alors ISE essaiera d'accéder au secondaire (secondaire) et ainsi de suite. De plus, s'il y a 2 PAN, un LDAP peut être priorisé pour le PAN primaire et un autre LDAP pour le PAN secondaire.
ISE prend en charge 2 types de recherche (recherche) lors de l'utilisation de serveurs LDAP : recherche d'utilisateur et recherche d'adresse MAC. User Lookup vous permet de rechercher un utilisateur dans la base de données LDAP et d'obtenir les informations suivantes sans authentification : utilisateurs et leurs attributs, groupes d'utilisateurs. La recherche d'adresses MAC vous permet également de rechercher par adresse MAC dans des annuaires LDAP sans authentification et d'obtenir des informations sur l'appareil, un groupe d'appareils par adresses MAC et d'autres attributs spécifiques.
Comme exemple d'intégration, ajoutons Active Directory à Cisco ISE en tant que serveur LDAP.
1) Allez dans l'onglet Administration → Gestion des identités → Sources d'identité externes → LDAP → Ajouter.
Figure 4. Ajout d'un serveur LDAP
2) Dans le panneau Général spécifiez le nom et le schéma du serveur LDAP (dans notre cas, Active Directory).
Figure 5. Ajout d'un serveur LDAP avec un schéma Active Directory
3) Allez ensuite à La connexion onglet et sélectionnez Nom d'hôte/adresse IP Serveur AD, port (389 - LDAP, 636 - SSL LDAP), informations d'identification de l'administrateur de domaine (Admin DN - full DN), d'autres paramètres peuvent être laissés par défaut.
Noter: utilisez les détails du domaine admin pour éviter les problèmes potentiels.
Figure 6 Saisie des données du serveur LDAP
4) Dans l'onglet Organisation de l'annuaire vous devez spécifier la zone de répertoire via le DN à partir duquel extraire les utilisateurs et les groupes d'utilisateurs.
Figure 7. Détermination des répertoires à partir desquels les groupes d'utilisateurs peuvent accéder
5) Allez à la fenêtre Groupes → Ajouter → Sélectionner des groupes à partir du répertoire pour sélectionner des groupes d'extraction à partir du serveur LDAP.
Figure 8. Ajout de groupes à partir du serveur LDAP
6) Dans la fenêtre qui apparaît, cliquez sur Récupérer des groupes. Si les groupes se sont arrêtés, les étapes préliminaires ont été franchies avec succès. Sinon, essayez un autre administrateur et vérifiez la disponibilité de l'ISE avec le serveur LDAP via le protocole LDAP.
Figure 9. Liste des groupes d'utilisateurs extraits
7) Dans l'onglet Attributs vous pouvez éventuellement spécifier quels attributs du serveur LDAP doivent être récupérés, et dans la fenêtre Paramètres avancés activer l'option Activer le changement de mot de passe, qui obligera les utilisateurs à modifier leur mot de passe s'il a expiré ou a été réinitialisé. Quoi qu'il en soit, cliquez Envoyer continuer.
8) Le serveur LDAP est apparu dans l'onglet correspondant et peut être utilisé pour établir des politiques d'accès à l'avenir.
Figure 10. Liste des serveurs LDAP ajoutés
4. Intégration avec Active Directory
1) En ajoutant le serveur Microsoft Active Directory en tant que serveur LDAP, nous avons obtenu des utilisateurs, des groupes d'utilisateurs, mais pas de journaux. Ensuite, je propose de mettre en place une intégration AD complète avec Cisco ISE. Aller à l'onglet Administration → Gestion des identités → Sources d'identité externes → Active Directory → Ajouter.
Note: pour une intégration réussie avec AD, ISE doit être dans un domaine et avoir une connectivité complète avec les serveurs DNS, NTP et AD, sinon rien n'en sortira.
Figure 11. Ajout d'un serveur Active Directory
2) Dans la fenêtre qui apparaît, entrez les détails de l'administrateur du domaine et cochez la case Identifiants du magasin. De plus, vous pouvez spécifier une OU (unité organisationnelle) si l'ISE se trouve dans une OU spécifique. Ensuite, vous devrez sélectionner les nœuds Cisco ISE que vous souhaitez connecter au domaine.
Figure 12. Saisie des identifiants
3) Avant d'ajouter des contrôleurs de domaine, assurez-vous que sur PSN dans l'onglet Administration → Système → Déploiement option activée Service d'identité passive. ID passif - une option qui vous permet de traduire l'utilisateur en IP et vice versa. PassiveID obtient des informations d'AD via WMI, des agents AD spéciaux ou un port SPAN sur le commutateur (ce n'est pas la meilleure option).
Note: pour vérifier l'état de l'ID passif, tapez dans la console ISE afficher l'état de l'application ise | inclure PassiveID.
Figure 13. Activation de l'option PassiveID
4) Aller à l'onglet Administration → Gestion des identités → Sources d'identité externes → Active Directory → PassiveID et sélectionnez l'option Ajouter des contrôleurs de domaine. Ensuite, sélectionnez les contrôleurs de domaine nécessaires avec des cases à cocher et cliquez sur D'ACCORD.
Figure 14. Ajout de contrôleurs de domaine
5) Sélectionnez les DC ajoutés et cliquez sur le bouton Modifier. préciser FQDN votre DC, nom de domaine et mot de passe, et une option de lien WMI ou Agent. Sélectionnez WMI et cliquez sur D'ACCORD.
Figure 15 Saisie des détails du contrôleur de domaine
6) Si WMI n'est pas le moyen privilégié pour communiquer avec Active Directory, les agents ISE peuvent être utilisés. La méthode de l'agent consiste à installer des agents spéciaux sur les serveurs qui émettront des événements de connexion. Il existe 2 options d'installation : automatique et manuelle. Pour installer automatiquement l'agent dans le même onglet ID passif sélectionner Ajouter un agent → Déployer un nouvel agent (DC doit avoir accès à Internet). Renseignez ensuite les champs obligatoires (nom de l'agent, nom de domaine complet du serveur, identifiant/mot de passe de l'administrateur du domaine) et cliquez sur D'ACCORD.
Figure 16. Installation automatique de l'agent ISE
7) Pour installer manuellement l'agent Cisco ISE, sélectionnez l'élément Enregistrer l'agent existant. Au fait, vous pouvez télécharger l'agent dans l'onglet Centres de travail → PassiveID → Fournisseurs → Agents → Télécharger l'agent.
Figure 17. Téléchargement de l'agent ISE
Important: PassiveID ne lit pas les événements déconnexion! Le paramètre responsable du timeout est appelé durée de vieillissement de la session utilisateur et vaut 24 heures par défaut. Par conséquent, vous devez soit vous déconnecter à la fin de la journée de travail, soit écrire une sorte de script qui déconnectera automatiquement tous les utilisateurs connectés.
Pour information déconnexion Des "sondes de point final" sont utilisées - des sondes terminales. Il existe plusieurs sondes de point de terminaison dans Cisco ISE : RADIUS, déroutement SNMP, requête SNMP, DHCP, DNS, HTTP, Netflow, analyse NMAP. RAYON sonde utilisant CoA (Modification de l'autorisation) donne des informations sur la modification des droits d'utilisateur (cela nécessite un 802.1X), et configuré sur les commutateurs d'accès SNMP, donnera des informations sur les appareils connectés et déconnectés.
L'exemple suivant est pertinent pour une configuration Cisco ISE + AD sans 802.1X et RADIUS : un utilisateur est connecté sur une machine Windows, sans se déconnecter, se connecter depuis un autre PC via WiFi. Dans ce cas, la session sur le premier PC sera toujours active jusqu'à ce qu'un délai d'attente se produise ou qu'une déconnexion forcée se produise. Ensuite, si les appareils ont des droits différents, alors le dernier appareil connecté appliquera ses droits.
8) Facultatif dans l'onglet Administration → Gestion des identités → Sources d'identité externes → Active Directory → Groupes → Ajouter → Sélectionner des groupes dans l'annuaire vous pouvez sélectionner des groupes d'AD que vous souhaitez récupérer sur ISE (dans notre cas, cela a été fait à l'étape 3 "Ajout d'un serveur LDAP"). Choisis une option Récupérer les groupes → OK.
Figure 18a). Extraire des groupes d'utilisateurs d'Active Directory
9) Dans l'onglet Centres de travail → PassiveID → Aperçu → Tableau de bord vous pouvez observer le nombre de sessions actives, le nombre de sources de données, d'agents, etc.
Figure 19. Surveillance de l'activité des utilisateurs du domaine
10) Dans l'onglet Sessions en direct les sessions en cours sont affichées. L'intégration avec AD est configurée.
Figure 20. Sessions actives des utilisateurs du domaine
5. Заключение
Cet article a couvert les sujets de création d'utilisateurs locaux dans Cisco ISE, d'ajout de serveurs LDAP et d'intégration à Microsoft Active Directory. Le prochain article mettra en évidence l'accès invité sous la forme d'un guide redondant.
Si vous avez des questions sur ce sujet ou si vous avez besoin d'aide pour tester le produit, veuillez contacter .
Restez à l'affût des mises à jour sur nos chaînes (, , , , ).
Source: habr.com